KI-Regulierung in Europa: Compliance-Pflichten
3 Min. Lesezeit
Das Wichtigste in Kürze
- Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz.
- KI-Systeme werden in vier Risikoklassen eingeteilt: minimal, begrenzt, hoch und inakzeptabel.
- Hochrisiko-KI (HR, Kreditvergabe, Medizin) erfordert Konformitätsbewertung und CE-Kennzeichnung.
- Bußgelder bei Verstößen: bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes.
- Die Pflichten treten gestaffelt in Kraft: verbotene KI ab Februar 2025, Hochrisiko ab August 2026.
Europa reguliert KI – als erstes Wirtschaftsgebiet weltweit. Der EU AI Act trat am 1. August 2024 in Kraft und wird gestaffelt bis 2027 vollständig wirksam. Für Unternehmen, die KI entwickeln oder einsetzen, entstehen konkrete Pflichten: Risikoklassifizierung, Dokumentation, Transparenz und in manchen Fällen Zertifizierung.
Die gute Nachricht: Die meisten KI-Anwendungen im Mittelstand fallen in die Kategorie „minimal risk“ und unterliegen nur leichten Pflichten. Aber wer KI in HR, Kreditvergabe oder Medizin einsetzt, muss sich jetzt vorbereiten.
Die vier Risikoklassen des AI Acts
Inakzeptables Risiko (verboten): Social Scoring, biometrische Echtzeit-Massenüberwachung, manipulative KI-Systeme, Emotion Recognition am Arbeitsplatz. Diese Anwendungen sind ab Februar 2025 verboten.
Hohes Risiko: KI in Personalauswahl, Kreditvergabe, Bildung, Justiz, kritischer Infrastruktur, Medizinprodukten. Erfordert Konformitätsbewertung, Risikomanagement, Datenqualität, Transparenz und menschliche Aufsicht.
Begrenztes Risiko: Chatbots, Deepfakes, KI-generierte Inhalte. Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind.
Minimales Risiko: Alle anderen KI-Anwendungen (Spam-Filter, Empfehlungssysteme, Übersetzungen). Keine spezifischen Pflichten, aber freiwillige Verhaltenskodizes.
Was Hochrisiko-KI konkret erfordert
Unternehmen, die Hochrisiko-KI-Systeme betreiben, müssen: Ein Risikomanagementsystem implementieren und dokumentieren. Datenqualität sicherstellen – Trainingsdaten müssen repräsentativ, fehlerfrei und unverzerrt sein. Technische Dokumentation erstellen – Modellarchitektur, Trainingsdaten, Performance-Metriken, bekannte Limitierungen. Menschliche Aufsicht gewährleisten – ein Mensch muss die KI-Entscheidung überprüfen und übersteuern können. Logging implementieren – alle Entscheidungen müssen nachvollziehbar protokolliert werden.
Die Konformitätsbewertung kann je nach Anwendungsfall durch Selbstbewertung oder durch eine notifizierte Stelle (externes Audit) erfolgen.
KI-Kompetenzpflicht: Training für alle
Eine oft übersehene Anforderung: Artikel 4 des AI Acts verpflichtet alle Unternehmen, die KI einsetzen, zur „AI Literacy“ – Mitarbeitende müssen ausreichend Kompetenz im Umgang mit KI-Systemen haben. Diese Pflicht gilt bereits seit Februar 2025 und betrifft auch Unternehmen mit Minimal-Risk-KI.
Konkret: Schulungen zu Grundlagen der KI, verantwortungsvollem Einsatz, Erkennung von Halluzinationen und Bias, sowie Datenschutz im KI-Kontext. Der Umfang ist nicht definiert – die Anforderung ist „angemessen“. Dokumentation der Schulungen ist empfehlenswert.
Was der Mittelstand jetzt tun sollte
Schritt 1: KI-Inventar erstellen – welche KI-Systeme werden eingesetzt? Chatbots, KI-gestützte Analysen, automatisierte Entscheidungen? Externe KI-Services (ChatGPT, Claude, Copilot) nicht vergessen.
Schritt 2: Risikoklassifizierung – welche Klasse gilt für jedes System? Die meisten fallen unter „minimal“ oder „begrenzt“. Aufpassen bei HR-Tools (Bewerbungsscreening), Finanzsystemen (Kreditentscheidungen) und Kundenkommunikation (Transparenzpflicht).
Schritt 3: AI Literacy sicherstellen – Mitarbeiterschulungen durchführen und dokumentieren. Das ist die Pflicht mit dem frühesten Wirkungsdatum.
Schritt 4: Für Hochrisiko-Systeme: Compliance-Roadmap erstellen, externe Beratung einholen, Konformitätsbewertung vorbereiten.
Chancen: Der AI Act als Wettbewerbsvorteil
Der AI Act wird oft als Innovationsbremse kritisiert. Das Gegenteil kann der Fall sein: Unternehmen, die vertrauenswürdige KI nachweisbar einsetzen, haben einen Wettbewerbsvorteil bei Kunden, Partnern und Regulierern. „AI Act compliant“ wird zum Qualitätsmerkmal – ähnlich wie DSGVO-Konformität heute Vertrauen schafft.
Zudem: Der AI Act gilt für den gesamten EU-Binnenmarkt. Unternehmen, die die Anforderungen erfüllen, haben Zugang zu 450 Millionen Verbrauchern. Nicht-EU-Unternehmen müssen dieselben Standards erfüllen, wenn sie in Europa aktiv sind. Das kann europäische Anbieter gegenüber weniger regulierten Wettbewerbern stärken.
Häufige Fragen
Gilt der AI Act auch für KI, die wir nur nutzen, nicht entwickeln?
Ja. Der AI Act unterscheidet zwischen Providern (Entwicklern) und Deployers (Nutzern). Deployers haben eigene Pflichten – insbesondere bei Hochrisiko-KI: menschliche Aufsicht, Monitoring, Meldepflichten und AI Literacy.
Was passiert bei Verstößen?
Bußgelder bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Bis zu 15 Mio. oder 3% für Verstöße gegen Hochrisiko-Anforderungen. Die nationalen Aufsichtsbehörden sind für die Durchsetzung zuständig.
Ist ChatGPT-Nutzung im Unternehmen reguliert?
ChatGPT als General-Purpose-AI fällt unter die Transparenzpflicht (Nutzer müssen wissen, dass sie mit KI interagieren) und OpenAI als Provider hat eigene Pflichten. Für das Unternehmen als Nutzer: AI Literacy sicherstellen und Transparenz gegenüber betroffenen Personen wahren.
Braucht man einen AI Officer?
Der AI Act verlangt keinen dedizierten AI Officer, aber jemand muss für die Umsetzung verantwortlich sein. In großen Unternehmen entsteht die Rolle eines Chief AI Officers. Im Mittelstand kann die Verantwortung beim Datenschutzbeauftragten, IT-Leiter oder Compliance-Officer liegen.
Wann muss mein Unternehmen compliant sein?
Gestaffelt: Verbotene KI-Praktiken seit Februar 2025. AI Literacy seit Februar 2025. General-Purpose-AI-Regeln ab August 2025. Hochrisiko-KI ab August 2026. Vollständige Wirksamkeit ab August 2027.
Quelle des Titelbildes: Pexels / Pavel Danilyuk
Lesetipps der Redaktion
- Datenqualität im Mittelstand: Warum KI ohne saubere Daten scheitert
- B2B-Plattformen: Warum Marktplätze den Vertrieb verändern
- Cyber-Versicherung für KMU: Was wirklich abgedeckt ist
Mehr aus dem MBF Media Netzwerk
cloudmagazin | SecurityToday | Digital Chiefs
